问小白 wenxiaobai
资讯
历史
科技
环境与自然
成长
游戏
财经
文学与艺术
美食
健康
家居
文化
情感
汽车
三农
军事
旅行
运动
教育
生活
星座命理

ACL典型配置举例:基于时间段的访问控制

创作时间:
作者:
@小白创作中心

ACL典型配置举例:基于时间段的访问控制

引用
CSDN
1.
https://blog.csdn.net/m0_51195633/article/details/143770297

本文将通过一个具体的组网场景,详细介绍如何在设备上配置ACL(访问控制列表),以实现对不同部门访问财务数据库服务器的权限控制。

组网需求

某公司内的各部门之间通过Device实现互连,该公司的工作时间为每周工作日的8点到18点。通过配置,需要实现以下访问控制策略:

  • 允许总裁办在任意时间访问财务数据库服务器
  • 允许财务部在工作时间访问财务数据库服务器
  • 禁止其他部门在任何时间访问财务数据库服务器
  • 禁止财务部在非工作时间访问财务数据库服务器

配置步骤

1. 创建时间段

首先创建名为work的时间段,其时间范围为每周工作日的8点到18点。

<Device> system-view
[Device] time-range work 08:00 to 18:00 working-day

2. 创建和配置ACL

创建IPv4高级ACL 3000,并制定如下规则:

  • 允许总裁办(192.168.1.0/24)在任意时间访问财务数据库服务器(192.168.0.100)
  • 允许财务部(192.168.2.0/24)在工作时间访问财务数据库服务器
  • 禁止其他部门在任何时间访问财务数据库服务器
[Device] acl advanced 3000
[Device-acl-ipv4-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.0.100 0
[Device-acl-ipv4-adv-3000] rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.0.100 0 time-range work
[Device-acl-ipv4-adv-3000] rule deny ip source any destination 192.168.0.100 0
[Device-acl-ipv4-adv-3000] quit

3. 应用ACL到接口

将IPv4高级ACL 3000应用到接口GigabitEthernet1/0/1的出方向上。

[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] packet-filter 3000 outbound
[Device-GigabitEthernet1/0/1] quit

验证配置

配置完成后,可以通过以下方式验证配置效果:

在各部门PC上使用ping命令检验

假设各部门的PC均为Windows XP操作系统。

财务部PC访问测试:

C:\> ping 192.168.0.100
Pinging 192.168.0.100 with 32 bytes of data:
Reply from 192.168.0.100: bytes=32 time=1ms TTL=255
Reply from 192.168.0.100: bytes=32 time<1ms TTL=255
Reply from 192.168.0.100: bytes=32 time<1ms TTL=255
Reply from 192.168.0.100: bytes=32 time<1ms TTL=255
Ping statistics for 192.168.0.100:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 1ms, Average = 0ms

由此可见,财务部的PC能够在工作时间访问财务数据库服务器。

市场部PC访问测试:

C:\> ping 192.168.0.100
Pinging 192.168.0.100 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 192.168.0.100:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

由此可见,市场部的PC不能在工作时间访问财务数据库服务器。

查看ACL配置和运行情况

在设备上使用display acl命令查看ACL的配置和运行情况。

[Device] display acl 3000
Advanced IPv4 ACL 3000, 3 rules,
ACL's step is 5
rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.0.100 0
rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.0.100 0 time-range work (4 times matched) (Active)
rule 10 deny ip destination 192.168.0.100 0 (4 times matched)

由此可见,由于目前是工作时间,因此规则5是生效的;且由于之前使用了ping命令的缘故,规则5和规则10分别被匹配了4次。

端口对报文的处理方式

在配置了端口链路类型和端口缺省VLAN后,端口对报文的接收和发送的处理有几种不同情况。

热门推荐
© 2023 北京元石科技有限公司 ◎ 京公网安备 11010802042949号